Die Israelin Haya Shulman (41) ist Direktorin der Abteilung »Cybersecurity Analytics und Defences« am Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt sowie wissenschaftliche Leiterin des Fraunhofer-Projektzentrums für Cybersicherheit an der Hebräischen Universität Jerusalem. Kürzlich wurde sie mit dem Deutschen IT-Sicherheitspreis ausgezeichnet. Der mit 100.000 Euro dotierte Preis wird von der Horst Görtz Stiftung vergeben und gilt als die renommierteste Auszeichnung für IT-Sicherheit in Deutschland. Haya Shulman hat drei Kinder und lebt seit sechs Jahren in Darmstadt.
Frau Shulman, zunächst einmal herzlichen Glückwunsch zum Deutschen IT-Sicherheitspreis! Würden Sie uns kurz erklären, welches Problem das Produkt löst, für das Sie ausgezeichnet wurden?
Es gibt viele Hacker-Angriffe, die im Internet Verkehr umleiten, ohne dass die Nutzer es merken. Wenn Sie zum Beispiel eine E-Mail versenden, weist das sogenannte DNS-Protokoll dieser E-Mail die Adresse von dem Server zu, der sie empfangen soll. Dieses Protokoll wird oft angegriffen. Die Angreifer geben dabei eine falsche Adresse an, sodass die E-Mail an einen falschen Server geschickt wird. Wenn der Angreifer die E-Mail erst abfängt und danach an den richtigen Empfänger weiterleitet, bekommen Sie das gar nicht mit. Bisher gab es dafür keine richtige Lösung: Man kann Beratungsunternehmen beauftragen, die die Sicherheit Ihrer Internet-Infrastruktur manuell überprüfen, aber das kostet viel Geld und dauert lange. Außerdem kann sich die Sicherheitslage jeden Tag ändern.
Wie funktioniert die Lösung, die Sie dafür entwickelt haben?
Ich habe ein Werkzeug entwickelt, das Schwachstellen im Server auf automatisierte Weise überprüft. Dazu nutze ich Server in verschiedenen Netzen: Einige von ihnen versuchen, ein Netz anzugreifen, um zu sehen, welche Schwachstellen es hat. Die anderen Server sind Opfer. Das Ziel der Angreiferserver besteht darin, die Kommunikation der Opferserver umzuleiten. Wenn das klappt, gibt es also eine Schwachstelle. Am Ende erhalten Sie einen Bericht, der Ihnen sagt, welche Schwachstellen es gibt, auf welche Weise sie ausgenutzt werden können und was Sie als Netzbetreiber oder Systemadministrator tun müssen, um das Problem zu beheben. Das Ganze dauert zehn bis 15 Minuten, anders als beim manuellen Testen passieren dabei keine Fehler, und Sie können den Test beliebig oft machen. Dafür brauchen Sie keine Expertise.
Eine deutsche Fachzeitschrift hat Sie einmal als »promovierte Hackerin« beschrieben. Fühlen Sie sich gut getroffen?
Als ich nach Deutschland kam, habe ich wirklich viel Hacking betrieben und wurde oft zu Hacking-Konferenzen eingeladen, zum Chaos Computer Club (CCC) zum Beispiel. In Deutschland weiß man offensive Forschung in diesem Bereich leider nicht zu schätzen, aber meiner Ansicht nach ist diese offensive Forschung sehr wichtig: nicht, um andere anzugreifen, sondern um Gegenmaßnahmen aufzubauen. Nur indem man Lücken und Schwachstellen eines Systems aufspürt, versteht man, was schiefläuft und wie man sie beheben kann.
Israel gilt als eine der führenden Nationen in Sachen Cybersicherheit wie auch Hightech überhaupt, während in Deutschland oft über Rückstände in der Digitalisierung und mangelnde Innovation geklagt wird. Wie sehen Sie die beiden Länder im Vergleich?
In Deutschland höre ich oft: Die Israelis, die Amerikaner, die Russen, die Chinesen, überhaupt alle anderen sind besser als wir. Ist nicht wahr: Im Bereich Cybersicherheit betreibt Deutschland exzellente Forschung. Der Unterschied zu Israel liegt darin, dass in Deutschland weniger Start-ups gegründet werden und weniger Technologietransfer stattfindet. Die Mentalität hier ist einfach anders: Die Israelis sind viel mutiger und risikofreudiger. Sobald sie eine Idee haben, gründen sie ein Start-up. Deutsche dagegen haben Angst, zu scheitern und ihre Kreditwürdigkeit zu verlieren. Ich sehe diese Unterschiede auch in meiner Arbeit mit deutschen und israelischen Studenten: Gebe ich israelischen Studenten eine Aufgabe, sagen die: »Kein Problem, in einer Woche ist das fertig.« Deutsche Studenten sagen: »Das habe ich noch nie gemacht, ich glaube nicht, dass ich das kann.« Die sind viel weniger mutig. Dafür sind sie viel gründlicher. Erinnern Sie sich an die israelische Sonde, die zum Mond geschickt wurde? Die ist ein Symbol für die israelische Mentalität. Ein paar Leute entscheiden, eine Sonde zum Mond zu schicken, und sie scheitern, denn sie haben irgendetwas falsch bemessen. Aber sie haben das superschnell gemacht, auf eigene Faust. Wie funktionieren die Dinge dagegen in Deutschland? Da wird ein Plan gemacht, es dauert ein Jahr, bis er fertig ist, und dann ist er nicht mehr relevant, weil die Technologie sich längst weiterentwickelt hat.
Sie haben 2016 einen deutsch-israelischen Cybersecurity-Accelerator für Hochschulabsolventen aus beiden Ländern ins Leben gerufen. Wie bringen Sie die beiden unterschiedlichen Ansätze zusammen?
Zusammen können Israelis und Deutsche mit ihren unterschiedlichen Mentalitäten wirklich tolle Sachen machen. In meinem Programm arbeiten die Hochschulabsolventen vier bis sechs Monate zusammen an einem Projekt und entwickeln Technologien. Die Deutschen sind die Gründlichen, die Stimme der Vernunft, und die Israelis sind die Verrückten, Kreativen. Die Deutschen sind am Anfang etwas geschockt von den Israelis: Die reden dauernd, die wissen alles, die sind Experten in allem. Aber wenn Israelis sagen, sie sind Experten in einem Feld, dann meinen sie, sie haben davon gehört oder vielleicht einmal etwas Ähnliches programmiert. Die Deutschen dagegen glauben nicht, dass sie in einem Thema Experten sind, bevor sie darin promoviert haben.
Sie sind die erste Frau, die den Deutschen IT-Sicherheitspreis allein gewonnen hat. Insgesamt sind Frauen in der Hightech-Industrie unterrepräsentiert. Haben Sie eine Idee, woran das liegt?
Das ist ein Problem, das Deutschland und Israel gemeinsam haben. In der Armee war ich als Frau im Cybersicherheitsbereich fast allein. Ich nehme an, das hat soziale Gründe. Es gibt in diesem Feld viele Vorbilder für Männer, aber nicht viele für Frauen, dabei brauchen Frauen Vorbilder. Aus diesem Grund habe ich eine Konferenzreihe etabliert: »Women in Cyber«. Die ist digital, jeder kann teilnehmen, und ich lade dazu erfolgreiche Frauen aus der ganzen Welt ein. In Deutschland kommt außerdem das Problem der Kinderbetreuung hinzu. Im Vergleich zu Israel ist es hier ein Albtraum, Kinderbetreuung zu finden. Frauen in Deutschland müssen sich zwischen Familie und Karriere entscheiden. In Israel dagegen gibt es überall Kindergärten, und ab zwei Monaten können die Kinder schon in die Betreuung gehen. Das ist in Deutschland anders. Mit meinem ersten Kind, meinem Sohn, musste ich hier Vollzeit arbeiten, also habe ich ihn zu allen möglichen Meetings mitgeschleppt: Er war mit mir in Berlin, in München, in Meetings mit dem Präsidenten des Bundesamts für Sicherheit in der Informationstechnik und anderen. Das ist wirklich verrückt.
Wie gefällt es Ihnen sonst in Deutschland?
Meine Erfahrungen sind sehr positiv, ich finde die Deutschen super. Ich hatte nie Probleme hier. Die Menschen hier sind bei der ersten Begegnung sehr freundlich und angenehm. Viele Israelis glauben, sie müssten sehr entschieden auftreten, um Aufmerksamkeit zu bekommen. Sie meinen das nicht böse, sie sind eigentlich sehr nett, sie sind es eben nicht anders gewohnt. Der erste Eindruck, den Deutsche machen, die Benutzeroberfläche sozusagen, ist dagegen sehr freundlich. Wenn man zum Beispiel jemanden schubst, dann entschuldigt man sich, und wenn man in einer Schlange steht, dann wartet man geduldig, und niemand drängelt sich vor. Mir gefällt das. Wissen Sie, was perfekt wäre? Eine Mischung aus Deutschland und Israel. Das wäre das beste Land der Welt – erfolgreicher als die Schweiz!
Mit der israelischen Wissenschaftlerin und IT-Expertin sprach Mareike Enghusen.
